På måndag behandlar Kristinestads stadsstyrelse ett dataskyddsbrott där staden av misstag publicerade känsliga personuppgifter på sin webbplats.
Enligt beredningen till mötet föreslår stadsdirektör Mila Segervall att staden betalar sin tidigare bildningsdirektör Maarit Söderlund 6 000 euro i skadestånd samt 2 430 euro i juristkostnader.
Mer än 400 sidor hemligt material lades ut
Det hela fick sin start den 23 juni ifjol då ett brev med bilagor från Vasa förvaltningsdomstol publicerades på stadens webbplats. Brevet gällde avstängning från tjänsteutövning av bildningsdirektör Maarit Söderlund.
Det cirka 400 sidor långa materialet innehöll personuppgifter och det publicerades som kungörelse på webbplatsen. Materialet låg kvar på sidan tills den 4 augusti.
Men även om kungörelsen togs bort i augusti hade bilagorna en separat URL-adress, vilket gjorde att den fortsättningsvis gick att hitta via sökmotorer.
Staden Kristinestad fick kännedom om dataskyddsbrottet först den 19 januari i år och då togs filen omedelbart bort.
Laddades ner tiotals gånger
Enligt stadens egen utredning lästes kungörelsen 83 gånger och filen laddades ner 34 gånger av 15 olika användare före början av augusti. Mellan augusti och årsskiftet laddades filen inte ned en enda gång. Däremot laddades den ner 168 gånger av 23 personer mellan den 1 och 18 januari.
Materialet innehöll personuppgifter om sex olika personer samt icke offentliga uppgifter om en annan part. Staden meddelade de berörda om det inträffade den 20 januari.
Dataskyddsbrottet berodde på ett mänskligt misstag. Personen som publicerade kungörelsen hade felaktigt tolkat förvaltningsdomstolens brev som ett beslut och hade inte gått igenom materialet tillräckligt noggrant.
I det e-postmeddelande som Vasa förvaltningsdomstol skickade fanns ingen markering om att materialet innehöll sekretessbelagda uppgifter, vilket är vanlig praxis i kommunikation mellan myndigheter.
Allvarligt brott mot dataskyddslagstiftningen
Staden klassar dataskyddsincidenten som väldigt allvarlig. Nu vidtar man åtgärder för att minimera risken att något dylikt händer igen.
Enligt delegationen för personskadeärendens rekommendationer varierar det normala beloppet för ersättning för spridning av information som kränker privatlivet mellan 1 800 euro och 6 000 euro.
Eftersom uppgifterna var synliga på nätet under längre tid och spreds till en stor grupp människor bedömer staden att skadan motsvarar det högsta beloppet i det rekommenderade ersättningsintervallet. Dessutom finns det risk att uppgifterna sprids vidare eftersom de kan ha sparats.
Stadsdirektörens förslag inkluderar ett avtal där parterna förbinder sig att saken är slutligt avgjord. Söderlund förbinder sig att inte göra en förundersökningsbegäran till polisen eller framställa åtalsbegäran till åklagaren.
Enligt staden skulle en rättsprocess bli betydligt dyrare och inte leda till ett bättre resultat, eftersom dataskyddsbrottets inträffande är ostridigt.
Stadsstyrelsen behandlar ärendet på sitt möte på måndag.
Artikeln är en bearbetad översättning av Kristiinankaupunki julkaisi salaisia henkilötietoja erotetusta sivistysjohtajasta – tarjoaa 6 000 euron sopua. Översättning av Sofi Nordmyr.